Joh*_*ohn 5 firebase firebase-authentication
在我们的应用程序中,我们使用“每个电子邮件地址一个帐户”。我们希望用户使用特定的身份验证提供程序进行注册,我们会对其进行跟踪并坚持使用。
我今天注意到的是,如果我使用 Google 或 Facebook 提供商登录,然后我可以向自己发送一个密码重置链接到关联的电子邮件地址,这允许我改用电子邮件/密码提供商。根据第一个提供程序的不同,行为略有不同:
我的问题是:这种行为是有意为之,有什么办法可以关闭它吗?
如果假设用户使用 Facebook(我们跟踪)登录,然后忘记并发送密码重置,这可能会导致混淆。这不是世界末日,因为他们可以继续使用密码登录,但它肯定会弄脏水。
谢谢
该行为是故意的。
对于最终用户来说,如果他们使用 Google 或 Facebook 登录应用程序,后来想要恢复密码,最可能的原因是他们(或攻击者)无法使用该身份提供商登录。
用户点击密码重置链接后,Firebase 会删除非电子邮件身份提供商,以防止其他人静默访问该帐户。如果用户仍想添加 Facebook/Twitter 登录,他们可以通过手动帐户链接来实现(如果应用程序支持)。
如果用户的电子邮件服务与身份提供商相同(例如 @gmail.com 用户使用 Google 登录应用程序),Firebase 会进行优化以保留身份提供商,因为不存在安全风险。
| 归档时间: |
|
| 查看次数: |
623 次 |
| 最近记录: |